Oppdatering: Apple har fikset utnyttelsen, lenken nedenfor er bevart for ettertiden, men fungerer ikke lenger for å vise noe unorm alt.

For noen uker siden var det en aktiv XSS-utnyttelse på Apple.com med deres iTunes-side. Vel, en tipser sendte oss nøyaktig samme skriptutnyttelse på tvers av nettsteder som ble funnet igjen på Apple iTunes-nettstedet (Storbritannia i dette tilfellet).Som et resultat dukker det opp noen ganske morsomme varianter av Apple iTunes-siden, og igjen noen veldig skremmende, ettersom skjermbildet ovenfor viser en påloggingsside som aksepterer brukernavn og passordinformasjon, lagrer disse påloggingsdataene på en utenlandsk server, og deretter sender du går tilbake til Apple.com. Den mest irriterende varianten som ble sendt til oss prøvde å fylle rundt 100 informasjonskapsler på maskinen min, satte i gang en endeløs løkke med javascript-popup-vinduer med Flash-filer innebygd i hver av dem, og iframet rundt 20 andre iframes, alt mens jeg spilte virkelig forferdelig musikk.

Her er en relativt harmløs variant av den XSS-kompatible nettadressen, den iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Det krever ikke mye innsats å lage din egen versjon. Uansett, la oss håpe Apple fikser dette raskt.

Vedlagt er noen flere skjermbilder av lenker sendt inn av tipseren «WhaleNinja» (flott navn forresten)